JP5766783B2

JP5766783B2 - 認証された音声暗号化のための装置

Info

Publication number: JP5766783B2
Application number: JP2013501642A
Authority: JP
Inventors: スマークマルク; シュッツェトアステン; ニューサムジェイムズ; ファンティーネンステファン
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2010-03-31
Filing date: 2010-03-31
Publication date: 2015-08-19
Anticipated expiration: 2030-03-31
Also published as: AU2010350058A1; JP2013524587A; EP2553862A1; AU2016204552A1; AU2018203745A1; CN102918795A; AU2018203745B2; US20130191637A1; WO2011120573A1

Description

本発明は、データ、特に音声データの符号化方法、および、暗号化され、認証（完全性）保護されたデータの復号化方法を提供する。さらに、本発明は、符号化装置および復号化装置を提供する。暗号化は通常、データの盗聴および改ざんを防ぐために用いられる。

デジタル音声システムにおいて、データの一部には音声コンテンツが含まれる。デジタル音声は規則的な時間間隔（音声サンプリング周波数と呼ばれる）で生成され、より大きいデータブロックに集められ、このデータブロックを暗号化により保護することが一般的である。過剰な音声レイテンシを避けるためにそのデータ量は制限されるものの、これはある種のライブ音声を用いるシステムたとえば電話システムにおいてもあてはまる。

暗号化の後、データは認証（完全性）保護を付与するために２度目の処理がされる。この処理は認証されていないデータの操作を避けるために不可欠である。積極的な攻撃者の危険にさらされている場合には、暗号化されたデータにもメッセージ認証が必要とされることが最近の結果から示されている。このほかに、暗号化されたデータの内容が知られている場合には、認証（完全性）保護によって同様にデータへの攻撃から保護される。音声データに関して、これはたとえば音声伝送の開始時の標準音声サンプル、たとえば着メロのダウンロードの際にあてはまる。暗号化の後、データは認証（完全性）保護の付与のために２度目の処理がされる。この処理は暗号化されたデータの認証されていない操作を避けるために不可欠である。特に、この保護がない場合、特定の暗号化されたデータパケットの暗号化されていない値を知っているかまたは推測できる攻撃者は、それを自分の選んだ音声に容易に、検知されることなく置き換えることができる。

たとえば、ＳＲＴＰ（Secure Real-time Transport Protocol）ではこの技術が用いられる。ＳＲＴＰはＲＴＰ（Real-time Transport Protocol）のプロファイルを定め、ＲＴＰはユニキャストおよびマルチキャスト用途における、暗号化、メッセージ認証および完全性ならびにＲＴＰデータに対する再生保護の提供を目的としている。音声伝送に用いられる際のＳＲＴＰの主なデメリットは、より大きいデータが用いられることである。これにより信号にレイテンシが加えられることになる。

暗号学において、ＣＭＡＣ（Cipher-based MAC）は、暗号に基づくメッセージ認証コードアルゴリズムとして知られている。ＣＭＡＣについては、M. Bellare and N. Namprempre; Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm等の文献に記載されている。

M. Bellare and N. Namprempre; Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm

ライブ音楽システムにおいては、ミュージシャンのリズムが損なわれないようにするために極めて低いレイテンシが必要である。アナログデジタル変換、音声処理、データ伝送などのいかなる処理によっても音声データにレイテンシが加えられるため、暗号化および解読のレイテンシはできるだけ低く、たとえば＜０．０５ｍｓであることが重要である。これは、処理がサンプル毎に行われるべきことを意味している。

本発明によれば、請求項１に係るデータを符号化する方法、および、請求項６に係る暗号化され、認証（完全性）保護されたデータを復号化するための方法が提供される。さらに、本発明によれば、請求項９に係る符号化装置、および、請求項１０に係る復号化装置が提供される。従属請求項の対象は本発明の実施形態を定める。

少なくとも一実施形態において、本発明によれば、いかなる関連する付加的なレイテンシをもデジタル音声ストリームに加えることがなく、かつ、付加的な同期データも必要としない、実用的な実施のためのたとえば＜１μｓの、ＡＥＳおよび認証（完全性）保護に基づく音声暗号化が実現される。用いられる暗号化技術は、当該分野において知られており、セキュアなものとして十分受け入れられている。したがって、本方法によれば、極めて低いレイテンシでの音声暗号化によって、ＣＭＡＣエラーに基づいて不正なキーの設定を検出し、歪んだ音声データを避けるために音声をミュートすることができる。

技術の優れた組み合わせと、これらの技術をライブ音声システムに用いるやり方とにより、データ暗号化および認証保護における極めて低いレイテンシが可能となる。

本方法は、たとえば、標準ＡＥＳ（Advanced Encryption Standard）暗号化を暗号フィードバックモードで用いる（ＡＥＳ−ＣＦＢ）。本方法を用いることにより、追加的な暗号化の必要がなくなる。サンプル毎、すなわちサンプルを１つずつ暗号化し、付加的な同期データを何ら必要とすることなく、サンプルを再び復号化することができる。さらに、暗号化から初期化ベクトルを知ることなく復号化することができる。しかし、正しいデータが復号化可能である前に、暗号ブロックのビット数が必要である。

暗号化の後、データについてのＣＭＡＣを計算することにより認証保護が付与される。ＣＭＡＣ（Cipher-based MAC）はブロック暗号ベースのメッセージ認証コードアルゴリズムであり、これはバイナリデータの認証および完全性の保証を与えるために用いることができる。好ましくは、暗号化およびＣＭＡＣ部分には異なるキーが用いられる。

ＣＭＡＣに用いられるビット数は必要なセキュリティレベルと、伝送され、保存され、処理されるべき付加的なデータとの間でトレードオフの関係にある。

ＣＭＡＣとＡＥＳ−ＣＦＢとの組み合わせは、認証保護の他に、ＣＭＡＣ認証チェックが１つの音声サンプルから成功するか否かを検出することができるというメリットがある。これが当てはまる場合、ＡＥＳ−ＣＦＢ復号化が成功する前に、暗号ブロックにおけるビット数が必要である。

壊れたデータの再生を避けるため、この瞬間まで音声をミュートするためにこの情報を用いることができる。このようにして、付加的な音声レシーバを、該音声レシーバが適切なキーを有している場合に、流れている暗号化音声ストリームに接続することができる。レシーバが開始すべき時点で初期化ベクトルを同期する必要はない。

生データの認証保護が再生に対して役立たないとき、再生保護を実現するために、時変データ、たとえばランダムデータ、ノンス、タイムスタンプを音声に加えることが適している場合がある。

暗号化され、認証（完全性）保護された音声データのための音声データを符号化する方法を示す。暗号化され、認証（完全性）保護された音声データを復号化する方法を示す。

図１は、記載された方法に係る音声サンプルを符号化する方法を示す。図の左側は音声サンプル期間ｎにおける処理を示し、右側は音声サンプル期間ｎ＋１における処理を示す。これは本方法がサンプル毎に行われることを示す。

音声サンプル期間ｎ
参照番号１０は、第１音声サンプルｎ＝０の処理の際にランダムに選択された値に初期化された、現在の１２８ビット初期化ベクトル（ＩＶ）である。初期化ベクトル１０は、ＡＥＳ暗号化処理１６において１２８ビットキー（１）１４で暗号化され、キーストリーム（１）１８が形成される。

さらに、２４ビット音声サンプル２０（サンプル期間ｎ）は、論理演算２２（本例ではＸＯＲ）によりキーストリーム（１）１８と組み合わされ、２４ビットの暗号化音声サンプル２４が生成される。この音声サンプル２４は１２８ビットキー（２）４０とともにＡＥＳ−ＣＭＡＣアルゴリズム２６に入れられ、２４ビットＣＭＡＣ２８が形成される。暗号化音声データサンプル２４およびＣＭＡＣ２８は組み合わされて、音声サンプル期間ｎに関するセキュアな音声サンプル３０が定められる。

音声サンプル期間ｎ＋１
音声サンプルｎ＋１に関する現在の初期化ベクトル（参照番号５０）は、２４ビット暗号化音声サンプル２４であり、従前の初期化ベクトル１０からの１０４ビットと連結されている。初期化ベクトル（ＩＶ）５０は次いでＡＥＳ暗号化処理５２において１２８ビットキー（１）１４で暗号化され、キーストリーム（２）５４が形成される。このキーストリーム（２）５４は、論理演算５８（本例ではＸＯＲ）により２４ビット音声サンプル（サンプル期間ｎ＋１）５６と組み合わされ、２４ビットの暗号化音声サンプル６０が形成される。この音声サンプル６０は１２８ビットキー（２）４０とともにＡＥＳ−ＣＭＡＣアルゴリズム６２に入れられ、２４ビットＣＭＡＣ６４が形成される。暗号化音声サンプル６０およびＣＭＡＣ６４は組み合わされ、音声サンプル期間ｎ＋１に関するセキュアな音声サンプル６６が形成される。

図２は、暗号化され、認証（完全性）保護された音声データの復号化を示す。図の左側は音声サンプル期間ｎにおける処理を示し、右側は音声サンプル期間ｎ＋１における処理を示す。

音声サンプル期間ｎ
１２８ビット初期化ベクトル（ＩＶ）１００は、図１の要素１０と同じ値を有する。初期化ベクトル１００はＡＥＳ暗号化処理１１６において１２８ビットキー（１）１１４で暗号化され、キーストリーム（１）１１８が形成される。

図１のセキュアな音声サンプル３０は、暗号文１２０および２４ビットＣＭＡＣ３０を含んでいる。暗号文１２０は論理演算１２４（本例ではＸＯＲ）によりキーストリーム（１）１１８と組み合わされ、プレーンな２４ビット音声サンプル１２６が形成される。

さらに、暗号文１２８はＡＥＳ−ＣＭＡＣアルゴリズム１３２において１２８ビットキー（２）１３０と組み合わされ、２４ビットＣＭＡＣ１３４が形成され、これはセキュアな音声サンプル３０のＣＭＡＣと比較される。

音声サンプル期間ｎ＋１
音声サンプルに関する現在の初期化ベクトル（参照番号１５０）は、２４ビット暗号化音声サンプル１２０であり、これは従前の初期化ベクトル１００からの１０４ビットと連結されている。初期化ベクトル１５０は次いでＡＥＳ暗号化処理１５２において１２８ビットキー（１）１１４で暗号化され、キーストリーム（２）１５４が形成される。

図１のセキュアな音声サンプル６６は、暗号文１５６および２４ビットＣＭＡＣ１６４を含んでいる。暗号文１５６は論理演算１５８（本例ではＸＯＲ）によりキーストリーム（１）１１８と組み合わされ、プレーンな２４ビット音声サンプル１６０が形成される。

さらに、暗号文１６２はＡＥＳ−ＣＭＡＣアルゴリズム１６６により１２８ビットキー（２）１３０と組み合わされ、２４ビットＣＭＡＣ１６４が形成され、これはセキュアな音声サンプル６６のＣＭＡＣと比較される。

図面では、２４ビット音声サンプルおよび２４ビットＣＭＡＣが仮定されている。したがって、データ量は２倍である。しかしより少ないオーバーヘッドを有するように、ＣＭＡＣにより用いられるビット数は低減可能である。

記載された方法は、セキュアな音声システムにより、１μｓ未満のレイテンシで用いることができる。

Claims

音声サンプルデータを符号化するための符号化装置であって、
前記符号化装置は、
音声サンプルデータをＡＥＳ暗号化（１６、５２、１１６、１５２）を用いて暗号化し、
暗号化した前記音声サンプルデータについてＣＭＡＣを計算することによって認証保護する、
ことを含む符号化を行い、
前記符号化を前記音声サンプルデータ毎に行う、
ことを特徴とする符号化装置。
前記符号化装置は、ＣＭＡＣエラーに基づいて認証チェックでエラーが生じたとき、復号化された音声をミュートする、請求項１記載の符号化装置。
前記符号化装置は、前記暗号化およびＣＭＡＣアルゴリズム（２６、１３２、１６６）において、異なるキーを用いる、請求項１または２記載の符号化装置。
暗号化され、認証保護された音声サンプルデータを復号化するための復号化装置であって、
前記復号化装置は、
暗号フィードバックモードでのＡＥＳ暗号化を用い、これにより付加的な同期の必要をなくし、
ＣＭＡＣ認証チェックが１つの音声サンプルデータから成功するか否かを検出する、
ことを含む復号化を行い、
暗号化からの初期化ベクトルを知らない場合、正しいデータを復号化可能である前に、前記復号化装置は暗号ブロックのビット数を取得し、
前記復号化装置は、前記復号化を前記音声サンプルデータ毎に行う、
ことを特徴とする復号化装置。
前記復号化装置は、ＣＭＡＣエラーに基づいて認証チェックでエラーが生じたとき、復号化された音声をミュートする、請求項４記載の復号化装置。
前記復号化装置は、前記暗号化およびＣＭＡＣアルゴリズム（２６、１３２、１６６）において、異なるキーを用いる、請求項４または５記載の復号化装置。